監視シナリオの概要
Active Directory Management Pack は、ディレクトリ サービスのヘルスに関する貴重な監視情報を提供するように設計されています。次の 9 つのシナリオで、最も一般的な Active Directory Management Pack の監視シナリオを説明します。
このドキュメントで説明する構成オプションはすべてオプションで、通常の運用環境では必要ありません。管理者は環境の特定領域をより正確に監視するため、いくつかのオプションを選択することができます。
複数フォレストの監視
Active Directory Management Pack では、Operations Manager と管理パックがインストールされるフォレストに加えて、複数フォレストの監視をサポートするようになりました。リモート フォレストにエージェントを展開することができます。管理パックは、エージェントがインストールされているドメイン コントローラの表示に従って、リモート フォレストのヘルスとパフォーマンス データを収集します。
リモート フォレストにあるドメイン コントローラの監視は、ローカル フォレストにあるドメイン コントローラの監視とほぼ同じです。
重要
複数フォレストの監視シナリオ、イベント、アラート、パフォーマンス データ収集はすべて、このリリースで完全にサポートされています。トポロジ表示は、ローカル フォレストと双方向の推移性の信頼があるすべてのフォレストを自動的に検出します。信頼関係のないリモート フォレストのトポロジ表示は、このリリースではサポートされていません。詳細情報に加え、留意すべき補足事項の完全な一覧については、前述の複数フォレストの監視シナリオを参照してください。
Replication
データのレプリケーションは、すべての Active Directory インストールで鍵となる側面です。レプリケーションの監視では、環境で正しくレプリケーションが行われていることを確認します。レプリケーションの次の 4 つの特定の側面を監視します。
レプリケーション プロバイダ この側面では、継続的な監視を提供し、ドメイン コントローラのレプリケーション リンクのすべてが常に正しく機能していることを確認します。各レプリケーション リンクのヘルスは、Windows Management Instrumentation (WMI) を利用して各リンクの状態を判断することでチェックします。
レプリケーション パートナー数 この側面では、各ドメイン コントローラにレプリケートするパートナーの許容数があることを確認します。ドメイン コントローラのパートナー数が多すぎたり、少なすぎると、ドメイン コントローラのヘルスが悪化すると考えられます。
レプリケーションの潜在期間の監視 この側面では、Active Directory インストールに行った変更がタイムリーに環境全体にレプリケートされていることを確認します。レプリケーションの潜在期間の監視メカニズムでは、一定の間隔でディレクトリに変更を行い、それらの変更が一定時間内に Active Directory Management Pack が監視するすべてのドメイン コントローラに達しているかどうかを観察します。
操作マスタの整合性 操作マスタの確認は別の場所でも実行しますが、レプリケーションの監視では、指定したドメイン コントローラのすべてのレプリケーション パートナーが各操作マスタの役割所有者に合意していることを確認します。レプリケーション パートナーは、それぞれの操作マスタの役割所有権について合意する必要があるため、このチェックはレプリケーションの重要な部分になります。
重要サービス
Active Directory システムは、いくつものサービスから構成され、直接サービスを提供するものもあれば、Active Directory システムそれ自体をサポートするものもあります。このため、管理パックはこれらの重要サービスが正しく機能していることを継続的にチェックします。一部のサービスは監視の対象になる場合とならない場合がありますが、これは、使用する Microsoft Windows Server のバージョンと環境の固有の構成によって異なります。この管理パックで監視するサービスには、次のようなものがあります。
NT ファイル レプリケーション サービス (NTFRS)
分散ファイル システム レプリケーション (DFSR)
Windows タイム サービス (W32time)
サイト間メッセージング (ISM)
キー配布センター (KDC)
NT ディレクトリ サービス (NTDS)
Net Logon (NetLogon)
注意
Active Directory Management Pack では、これらのサービスが実行されていることだけを確認します。これらのサービスのより詳細なヘルス分析については、監視を行うサービスに関連付けられている管理パックを使用してください。
信頼の監視
フォレストとドメイン間の信頼は、Active Directory 展開を行う基礎となります。これらの管理パックでは、信頼を監視して、環境のサービスとリソースが適宜利用可能であることを確認します。
ディレクトリ サービスの可用性
Operations Manager 2007 用の Active Directory Management Pack のユーザー向けに、当該管理パックの対応スクリプト名を括弧内に表示します。これらのサービスには、次のようなものがあります。
グローバル カタログを許容時間内に探すことができる (GC 応答)
グローバル カタログで許容時間内に検索結果を返すことができる (GC 検索時間)
Lost and Found オブジェクトの許容数がある(Lost & Found 数)
Active Directory で使用される DNS レコードの確認 (DNS 確認)
許容時間内でサーバーなしのバインドが成功する (AD 一般応答)
Active Directory データベースの監視
Active Directory データベースの監視では、ディレクトリのホストに使う基本となるファイル (DIT と呼ばれることもあります) に整合性があり、データベースが拡張する余地があるかどうかを確認します。これには、Active Directory Management Pack で監視される各ドメイン コントローラにあるデータベース ファイルとログ ファイルの両方が含まれます。
時間のずれの監視
Active Directory アプリケーションで使用される認証は、Kerberos 上に構築されており、認証に参加するすべてのコンピュータの時間のずれは 5 分以内であると想定します。すべてのコンピュータ間の時間差が同じになるため、Active Directory Management Pack はすべてのコンピュータが許容時間差内にあることを継続的に確認します。管理パックでは、時間差の量に従って警告やエラーを生成します。
操作マスタの監視
Active Directory 環境には、操作マスタの役割所有者がいくつか含まれます。この管理パックでは、これらの役割が常に利用可能で特定できることを監視して確かめます。具体的には、各操作マスタの役割所有者を特定し、指定した時間内でバインドが発生する可能性があります。
ドメイン コントローラのパフォーマンス
Active Directory 環境にとっては、サービスと応答が利用できるだけなく、許容時間内で特定でき、クエリを実行できることも重要です。ドメイン コントローラのパフォーマンスの特定領域には、次のようなものがあります。
LSASS プロセスで、許容量の CPU リソースを使用している。
許容時間内でドメイン コントローラでバインドが発生する可能性がある。